Q81 — AWS DOP-C02 第2章

第 81/100 题 | ← 返回第2章

一家公司使难单个AWS帐户在Amazon EC2实暗上测试应难程序。该公司在AWS帐户中打开了AWS配置,并激过了restricted-ssh AWS配 置管理规则。 该公司需要一个自动化的监控解决方案,如得帐户中的任何安全组不符合restricted-ssh规则,该解决方案将实唱提供定相的通知。自 定批通知客间包释不符合的安全组的会称和ID。 DevOps工程师在帐户中创建一个Amazon Simple Noti􀂬cation Service(Amazon SNS)主题,并为适当的人员订阅该主题。 为了两足这些要求,DevOps工程师接下范应该做什么?

正确答案: A. 为restricted-ssh规则创建一个与AWS配置评估结果NON_COMPLIANT匹配的Amazon EventBridge规则。为EventBridge规则配置输入 转换器。配置EventBridge规则以向SNS主题发布通知。

解析

该题考察使用AWS Config与EventBridge、SNS集成实现合规性事件实时通知的能力。AWS官方文档指出,AWS Config可将配置变更及合规性状态作为事件发送到EventBridge。创建EventBridge规则时需指定匹配的合规性状态(如NON_COMPLIANT)及对应规则名称,通过输入转换器提取事件中安全组名称、ID等元数据并重新构造消息格式。选项A通过EventBridge规则过滤特定规则的NON_COMPLIANT事件,输入转换器定制消息结构后推送至SNS,满足题干实时通知且消息包含特定字段的要求。选项B的SNS过滤器无法直接解析AWS Config原始事件结构中的安全组信息,选项C的Systems Manager调用属于无关操作,选项D未限定规则的筛选范围。